4

为了减少网站上可能的攻击向量的数量,将 Python 图像库可以读取的格式限制为一组已知的良好编解码器(GIF、JPEG、PNG)的最佳方法是什么。

这样用户就不能提交更多奇特的格式并利用可能的编解码器错误来进行缓冲区溢出等样式攻击。

最好在运行时。

4

1 回答 1

3

在将文件/缓冲区传递给 PIL 之前,您可以使用python-magic检查接受的 mimetypes。

于 2013-07-12T07:14:37.830 回答